Grave vulnerabilidad en WordPress

Por Hernan Cabrera

Octubre 18, 2009 Seguridad 6 Comentarios

seguridad wordpressJose blogger de Desvaríos informáticos descubrió una posible vulnerabilidad en el código de wordpress, más precisamente en el archivo wp-trackback.php, luego de reportar el mismo a security@wordpress.org y no recibir una respuesta positiva, si le dijeron que lo tendrán en cuenta, y viendo al gravedad del mismo decidió avisarnos.

El error esta en todas las versiones de WP, incluyendo la ultima 2.8.4, en si es pequeño pero sus consecuencias amplias, pueden dejar fuera de juego tu servidor con poco esfuerzo, de hecho Jose describe el codigo necesario para hacerlo. No creo que quieras sufrir un ataque DDOS sin necesidad, y no con 4000 Pc’s, según comenta alcanza con 20 peticiones alcanza.

Y como la blogosfera es como un pañuelo su post ya se esta difundiendo por todos lados y seguramente sera incluido esta mejora que propone en las próxima actualización de WP. El que entienda del tema puede leer todo el articulo de Jose o simplemente creer en él y modificar esta linea en el archivo nombrado.

$charset = $_POST['charset'];

por

$charset = str_replace(”,”,”",$_POST['charset']);
 if(is_array($charset)) { exit; }

Gracias por el aviso Jose, corran la voz…

Link | Agujero de seguridad muy grave en WordPress

Latest Comments

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *